Volles Risiko: Wertschöpfung im digitalen Zeitalter sichern

Ralph Noll, Partner Cyber Risk bei Deloitte Deutschland, Paul Sester, Information Security Manager bei der HORNBACH Baumarkt AG und Marc Wilczek, Geschäftsführer beim IT-Sicherheitsdienstleister Link11, haben in einer digitalen Paneldiskussion über IT-Sicherheit von vernetzten Wertschöpfungsketten gesprochen. Außerdem kam Daniel Wolfinger von der Zentralen Ansprechstelle Cybercrime beim LKA Rheinland-Pfalz zu Wort, um über die Angreifer, ihre Motive und ihr Vorgehen zu sprechen. Moderiert wurde die Diskussion von Daniel Schleidt, Wirtschaftsredakteur bei der Frankfurter Allgemeinen Zeitung.

Wie Digitalisierung die Wertschöpfung neu definiert

Bis vor wenigen Jahren flossen fast ausschließlich Immobilien, Produktionsanlagen und der Fuhrpark als materielle Werte in die Bilanz eines Unternehmens ein. Mit dem Fortschreiten der Digitalisierung bemisst sich der Wert der Firmen immer öfter an Gütern, die physisch nicht greifbar sind: Das können Daten, digitales Knowhow und Vernetzung oder Online-Dienstleistungen sein, beschreibt Ralph Noll die Entwicklung. Diese Faktoren tragen alle maßgeblich zur Wertschöpfung in den Unternehmen bei und stellen damit digitale Unternehmenswerte dar. Speziell der Erzeugung und Verarbeitung von Daten kommt immer mehr Bedeutung zu. Daten werden nicht mehr allein zwischen Menschen und Maschinen ausgetauscht, der Datenstrom hat sich auf die Kommunikation von Maschine zu Maschine ausgeweitet. Das ist bereits im Bereich der vernetzten Produktion, der Telematik oder im Internet der Dinge Standard. Ralph Noll nennt es „Connected everything“. Datenströme fließen zudem auch immer öfter über die Grenzen des Unternehmens-Netzwerkes hinaus: in die Cloud, zu Service-Providern, zu Partnern und Zulieferern. Und genau hier liegt das Problem: Je weiter die Daten aus dem Unternehmen hinausfließen, desto mehr entziehen sie sich dem Einflussbereich des Unternehmens, desto mehr externe Risiken können die Datenströme stoppen und die Geschäftsprozesse zum Stillstand bringen.

Cyber-Angreifer haben die digitalen Assets im Visier

Als eines der größten Risiken für die Unternehmen und ihre digitalen Wertschöpfungsketten sind Cyber-Bedrohungen zu nennen, also Angriffe aus dem Internet. Besondere Gefahr geht dabei von gut organisierten und immer professioneller agierenden Tätern aus, berichtet Daniel Wolfinger, der seitens der Ermittlungsbehörden mit angegriffenen Unternehmen und Verwaltungen in Kontakt steht. Die Täter schauen ganz gezielt, ob man die Unternehmen erpressen kann, wo sich Geschäftsprozesse stören und Daten stehlen lassen. Neben Ransomware sind dabei besonders DDoS-Angriffe zu nennen. Wie kaum eine andere Angriffsform bringen sie die Datenströme zum Erliegen und stoppen den gesamten Geschäftsbetrieb. Das kann an die Existenz eines Unternehmens gehen. Für Marc Wilczek ist es daher nicht überraschend, dass DDoS-Angriffe angesichts dieses Zerstörungspotenzials gerade einen Boom erleben: Innerhalb von zwei Jahren ist die Anzahl der Angriffe um etwa 150 Prozent gewachsen. Auch bei der Schlagkraft und Komplexität der Angriffe weist die Entwicklungskurve steil nach oben. Angriffe von mehreren 100 Gbps und großangelegte Angriffswellen, die sich schnell in den Terabit-Bereich summieren, sind inzwischen die Normalität, bilanziert Marc Wilczek.

Dynamik statt Statik: Cyber-Sicherheit im Unternehmen und bei Partnern managen

Damit angesichts dieser Bedrohungen dennoch alles im Datenfluss bleibt, müssen sich die Unternehmen den Risiken stellen und Maßnahmen zum Risikomanagement und zur Stärkung der IT-Sicherheit ergreifen. Diesen Weg ist die Baumarktkette HORNBACH gegangen, die IT-Sicherheit als kontinuierliche Aufgabe versteht, bei der immer wieder nachgeschärft werden muss. So wuchs mit den 2020-er Lockdowns während der Corona-Pandemie die unternehmerische Bedeutung des Webshops schlagartig an. Der Schutzbedarf etwa im Bereich DDoS wurde entsprechend angepasst, führt Paul Sester als Beispiel an. Das Unternehmen nimmt die Sicherstellung der Business Continuity sehr ernst und schützt sich gegen eine Vielzahl von Angriffsvektoren, die für den Geschäftsbetrieb des Unternehmens gefährlich werden könnten. Die hohen Vorgaben zur IT-Sicherheit legt es auch bei seinen Partnern an und fordert etwa Zertifizierungen nach ISO oder TISAX (Trusted Information Security Assessment Exchange) ein bzw. legt die IT-Sicherheitsstandards vertraglich fest. Dabei ist man sich bei HORNBACH aber auch der Limitierungen bewusst, etwa bei der Zusammenarbeit mit großen internationalen Cloud-Providern, die über ihre AGB nicht verhandeln lassen.

Die wichtigsten Bausteine, um Cyber-Risiken abzusichern

Doch wo fängt man mit der Absicherung digitaler Wertschöpfungsketten an, wenn man sich damit bislang noch nicht tiefgründig beschäftigt hat? Grundsätzlich ist jedes Unternehmen gut beraten, im ersten Schritt die eigenen kritischen Assets zu bestimmen. Laut Marc Wilczek sollte man sich dabei an der Frage orientieren, wo der Einfluss eines erfolgreichen Angriffs am größten wäre. Sind die Schwachstellen erst einmal identifiziert, können im zweiten Schritt angemessene Schutzmaßnahmen ergriffen werden. Das sieht auch Ralph Noll so, der Prävention für den besten Weg hält. Er empfiehlt zudem regelmäßige Übungen, wie sie etwa beim Feuerschutz verpflichtend sind. Er hofft, dass Regulatoriken, wie man sie aus dem Bereich Finanzen und Automotiv kennt, auch in anderen Branchen Anwendung finden werden. Paul Sester macht klar, dass die Informations-Sicherheit ein kontinuierlicher Prozess sei, der sich nicht allein auf den technischen Schutz beschränkt. Schulungen und die Sensibilisierung der Führungskräfte und Mitarbeiter über alle Abteilungen hinweg, etwa im Rahmen von Awareness-Kampagnen, sollten ebenfalls angepackt werden. Denn eines ist sicher: Cyber-Bedrohungen werden nicht mehr aus dem Internet verschwinden. Nach Einschätzung von Daniel Wolfinger ist die Schädigung und Erpressung von Unternehmen für die Cyberkriminellen einfach zu lukrativ. Die Einnahmen, die bei erfolgreichen Angriffen winken, rechtfertigen aus Sicht der Täter das Risiko bei weitem.